olc

Hi, ergänzend wäre vielleicht tree /a eine Alternative? Viele Grüße olc

Hi, nur mal so eingeworfen, weil es noch nicht gefragt wurde: Gibt es Fehler im Verzeichnisdienst Eventlog auf den DCs? Unter Umständen Datenbankfehler / -integritätsfehler? Kannst Du die Aktion auf allen DCs nicht durchführen oder tritt das Problem auch auf, wenn Du Dich mit der AD U&C MMC auf einen anderen DC verbindest? Viele Grüße olc

Hi Karsten und willkommen im Forum, zusätzlich zu Carstens Frage: Mit welchen Rechten führst Du das Script aus? Du mußt IMHO lokaler Administrator auf der Maschine sein (bzw. muß das Script in diesem Kontext ausgeführt werden), um das Security Eventlog auslesen zu können. Viele Grüße olc

Hi Frank, schau einmal hier hinein, das könnte ein Ansatz sein: http://www.mcseboard.de/windows-forum-ms-backoffice-31/netzlaufwerke-computerbeschreibung-140168.html Viele Grüße olc

Hi, Ein Backup sollte man immer haben, wenn man Aktionen auf einem DC durchführt. Aber normal solltest Du das durchführen können, sonst würde es nicht da stehen. ;-) Schau einmal hier hinein: Event ID 1101 error 0x8004010f may be logged during background processing Viele Grüße olc

Hi, führe doch einmal eine Zeile nach der anderen aus (oder nutze einen Debugger) um herauszufinden, in welcher Codezeile der Fehler auftritt. Danach kann man schauen, woran es liegen könnte. Viele Grüße olc

Hi, eine grundlegende Übersicht über den aktuellen Replikationsstatus kannst Du beispielsweise über die Backlogs oder den Health Report recht schnell einsehen. Schau einmal in das 3. HowTo oben (Windows Server How-To Guides: Grundlegende DFS-R Überwachung mit Hausmitteln - ServerHowTo.de). Viele Grüße olc

Hi Al, ja, wäre klasse, wenn Du Dich einmal meldest. :) Wie gesagt - prüfe in jedem Fall vorher, ob unter Umständen Zertifikate von den "temporären" CAs ausgestellt wurden und ob diese ggf. derzeit in Benutzung sind. Falls ja bekommst Du Probleme, wenn die CRLs bzw. AIA / Certificate Authorties nicht mehr vorhanden sind. Obwohl ich vermute, daß Du dann schon vorher in Probleme gelaufen wärst - besonders in Bezug auf die CRLs. Viele Grüße olc

Wenn Du keine Enterprise CA mehr hast, können keine Zertifikate mit diesen Templates ausgestellt werden. Von daher kein Problem. Wie oben schon geschrieben - "Certificate Authorities", "CDP" und "AIA" sind eher das Problem, sollten ausgestellte Zertifikate genutzt werden. Das mußt Du unbedingt vorher prüfen. Genau, bei der Installation einer Enterprise CA. Nein, im Normalfall nicht. Aber Du hättest zusätzlich ja auch noch das Systemstate Backup des DCs (zumindest innerhalb der Tombstone Lifetime). Absolut richtig. ;) :) Ganz im Gegenteil - besser so als nur ungenügende Angaben. Wie immer gilt hier jedoch - alle Angaben ohne Gewähr. Wir sind ein Forum und kein Dienstleister. ;) Aber das soll nicht heißen, daß das nicht klappt. Für den Notfall hast Du noch das Systemstate Backup. Ob die Zertifikate vorhanden sind oder nicht ist "egal" - zumindest solange derzeit keine Zertifikatfunktionen mit diesen CAs genutzt werden (oder Zertifikate über die CA ausgestellt wurden). Wenn Du die AD Container bereinigt hast, sollten die CA Zertifikate auch aus den lokalen Client Stores verschwinden. Viel Erfolg. ;) Viele Grüße olc

Hi Al, schon, daß Du hier bist. ;) Ok, das klingt für Dein Vorhaben sehr gut. Dann kannst Du mit der Motorsäge vorgehen... :D Genau. Korrekt, es gibt keine CAs mehr, daher sind auch keine CRLs mehr notwendig. Dabei ist jedoch wie auch bei den "Certification Authorities" und "AIA" wichtig, daß Du sicher sein mußt, daß derzeit keine Zertifikate in Deiner Umgebung genutzt werden. Wenn Zertifikate aktiv genutzt werden, die über eine der CAs ausgestellt wurden, kannst Du in Probleme laufen. Daher noch einmal die Empfehlung, ein Systemstate Backup eines DCs zur Verfügung zu haben - nur für den Notfall. Grundsätzlich wird das Thema auch in dem Microsoft KB Artikel besprochen. Jepp, siehe einen Punkt nach oben. :) Genau, das ist der Container, der die Events auf den DCs hervor ruft. Kannst Du tun, wenn Du eine neue Enterprise CA installierst, würden diese wieder neu angelegt werden. Rein theoretisch mußt Du diese aber auch nicht löschen. Sauber wäre es...

Hi Frank, jepp - das weiß ich. :) So, wie ich die Frage des TO jedoch lese, geht es bei den Systemen nicht um DCs, sondern um reine Dateiserver. Diese "überwachen" und ersetzen ihre SPNs nicht in der Form, wie es DCs tun. Von daher sollte das klappen, auch wenn es meines Erachtens unsauber ist. Viele Grüße olc

Hallo und willkommen im Forum, vermutlich wurden die "wilden" CAs als Enterprise CAs installiert. Dabei tragen Sie sich in der Active Directory unterhalb des Containers "CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=tld" in verschiedene Subcontainer ein (so etwa "Certification Authorities", "Enrollment Services" etc.). Hier liegt Dein Problem - während des Autoenrollments suchen Deine Systeme in diesen Containern nach CAs, von denen sie Zertifikate anfordern können. Da diese jedoch nicht mehr vorhanden sind, kommt es zu dem Fehler. Schau einmal in den folgenden Artikel hinein: How to decommission a Windows enterprise certification authority and how to remove all related objects from Windows Server 2003 and from Windows 2000 Server . Natürlich solltest Du nicht das gesamte Vorgehen umsetzen, da ansonsten gar keine CA mehr verfügbar ist ;) - jedoch sind die Stores und Container aufgeführt und deren Inhalte kurz beschrieben. Dort löschst Du die nicht mehr vorhandenen CA-Einträge und solltest danach "Ruhe" haben. Vorher ein Backup des SYSTEMSTATE eines DCs nicht vergessen, so daß Du im Notfall die Objekte autorativ wiederherstellen kannst. Viele Grüße olc

Hi Frank, ja - Du hast Recht. Der Client sendet zwar eine CIFS-Anfrage, jedoch wird dies im Gegensatz zu anderen Diensten auf den HOST-Eintrag gemappt. Hatte ich nicht auf dem Schirm. Danke für den Hinweis und Gruß olc

Hi, stimme zahni zu, DFSR ist genau in solchen Fällen eine sehr schlechte Wahl. ;) Habt Ihr schon einmal über SharePoint nachgedacht? Ist genau für solche Zwecke positioniert - jedoch muß dafür natürlich die Leitung zwischen den Standorten dick genug sein. Ansonsten wie immer die Frage: Wie viel darf es kosten? EMC, NetApp etc. bieten auch Replikationslösungen an, die soweit ich weiß teilweise auch Filelocks beherrschen - aber diese bewegen sich preislich meist in ganz anderen Dimensionen als DFSR. Viele Grüße olc

Hi Andrew, das kann viele Ursachen haben. Schau erst einmal hier hinein, damit Du das Problem ein wenig eingrenzen kannst: How to interpret USERENV 1000 events . Viele Grüße olc

Hi, was genau ist Deine Frage? ;) Soll heißen, was genau meinst Du mit "Tunnel" und "Lösungsansätze" - möchtest Du Hinweise zum Netzwerk selbst, zur Sicherheit oder ... oder ...? :) Alternativ könntet Ihr auch einmal über ADAM / AD LDS nachdenken - wenn die Applikation ausschließlich LDAP nutzt, wäre dies vielleicht eine Alternative entgegen dem Öffnen Eures internen Netzwerkes. Viele Grüße olc

Hi Schurrik, willkommen im Forum. :) Bist Du Dir sicher, daß es keine Fehlermeldungen in den (Application) Eventlogs der Clients als auch der DCs gibt? Überprüfe bitte einmal mittels GPRESULT oder RSOP.MSC auf den Clients als auch den DCs, ob die folgende Policy unter Umständen gesetzt wurde: Computer Configuration --> Administrative Templates --> System --> Group Policy --> "Turn off background refresh of group policy" --> Enabled. Falls ja, deaktiviere die Einstellung testweise einmal (für die Clients als auch die DCs) und versuche es noch einmal (nach einem Neustart des jeweiligen Clients der DCs, da sonst die Policy ja in Deiner Situation mit "GPUPDATE" nicht greift :D ). Unter Umständen verhindert die Einstellung ja auch das manuelle Aktualisieren. Viele Grüße olc

Hi Martin, da sind noch einige Dinge durcheinander. ;) "DFS-D" gibt es nicht, Du meinst wahrscheinlich "DFS-N". DFS-N ist für die Darstellung der Datenzugriffspunkte zuständig, also etwa "\\domain.tld\personal\freigabe" anstatt des normalen "\\server\freigabe". In Deinem Fall ist das wahrscheinlich nicht relevant, weil Du (zumindest mit DFS-R) diese Namespaces nicht benötigst, um Daten zu replizieren. "FRS" ist der Vorgänger von DFS-R. Bis Windows Server 2003 gab es nur diesen Replikationsdienst, der jedoch der Erfahrung nach nicht immer optimal läuft bzw. wenig flexibel ist. Daher wurde ab Windows Server 2003 R2 der neue Dateireplikationsdienst "DFS-R" eingeführt. Im Netz findest Du einige Anleitungen zu den Themen, so etwa Distributed File System: Frequently Asked Questions Distributed File System Replication: Frequently Asked Questions oder beispielsweise auch auf ServerHowTo.de: Windows Server How-To Guides: Planung, Installation und Konfiguration des Distributed File System (DFS) unter Windows Server 2003 R2 - ServerHowTo.de Windows Server How-To Guides: Weiterführende DFS-R Konfiguration unter Windows Server 2003 R2 - ServerHowTo.de Windows Server How-To Guides: Grundlegende DFS-R Überwachung mit Hausmitteln - ServerHowTo.de Gib die Begriffe einfach einmal in der Suchmaschine Deiner Wahl ein, Du wirst mit Sicherheit ebenfalls fündig. ;) Wie oben schon mehrfach angesprochen, kannst Du Dein Szenario sicherlich mit einem der Replikationsdienste umsetzen, besser wäre aber ein System auf "tieferer" Ebene. Aber gut, wenn das keine Option ist, macht es keinen Sinn weiter darüber zu sinnieren. Du solltest erst einmal prüfen, ob Du Windows Server 2003 oder Windows Server 2003 R2 einsetzt - letzteres bringt DFSR mit und ist die bessere Wahl als FRS. Nachdem Du Dich ein wenig in die Thematik DFSR eingelesen hast, kannst Du gern Deine Fragen hier stellen. :) Alternativ könnte man auch über simple Tools wie Robocopy nachdenken, je nachdem wie viele Daten am Tag so über die Leitung gehen, wie hoch die Änderungsrate ist etc. Im Grunde das, was Lian auch schon angemerkt hat. Du mußt ein Konzept fertig machen, um danach dann zu entscheiden, welche Lösung paßt - nicht anders herum. ;) Viele Grüße olc

Hi, es ist alles korrekt, was die Kollegen geschrieben haben. Jedoch hatten wir dieses Thema schon ab und an :D , daher auch an dieser Stelle noch einmal explizit der Hinweis, daß es in einer Windows Server 2003 Domain recht problemlos möglich ist, das "lastLogonTimestamp" Attribut "abzufragen". Das ist unter anderem auch im Artikel von Daim recht weit unten zu finden: dsquery user -inactive <WOCHENANZAHL> Diese Ausgabe kannst Du dann problemlos über eine Pipe "|" an weitere dsmod oder dsrm Befehle weitergeben. Klingt m.E. nach einfacher als das Attribut selbst programmatisch abzufragen. ;) Viele Grüße olc

Hi, dann aber wahrscheinlich nicht über Kerberos, sondern NTLM. Da Du unter Windows die Dateidienste (bei Verwendung von Kerberos) über "CIFS" SPNs ansprichst, solltest Du noch einmal prüfen, ob unter Umständen auch dort bisher NTLM genutzt wurde. Viele Grüße olc

N'Abend, wie genau heißt denn der Namespace? Sind irgendwelche "nicht standard" Zeichen vorhanden? Stand-Alone oder domänenbasierter Namespace? Mit welchem Benutzer bist Du angemeldet - hast Du lokale Admin-Rechte auf dem Namespaceserver, der den Namespace hält? Viele Grüße olc

N'Abend, dann schau Dir doch einmal das folgende Addon an: https://addons.mozilla.org/de/firefox/addon/7661 . Viele Grüße olc

Hi, vielleicht einmal anders gefragt: Was ist der Hintergrund für dieses Anliegen? Reichen ggf. auch mehrere Startseiten oder wie genau soll das gewünschte Vorgehen genutzt werden? Wenn Du als Startseite mehrere Tabs gleichzeitig (etwa auch beim Browserstart) öffnen möchtest, schau Dir einmal die Variable "browser.startup.homepage" in "about:config" an. Dort kannst Du mit einer Pipe getrennt "|" mehrere Seiten starten. Die Konfiguration findest Du in der "prefs.js" des jeweiligen Profils. Ansonsten würde ich vermuten, daß die "Absturz-Option" in den Dateien des Firefox-Profils zu finden ist, unterhalb von "%APPDATA%\Mozilla\Firefox\Profiles\profil.default". Viele Grüße olc

Hi, kann es sein, daß Du "Eingeschränkte Gruppen" per Group Policy einsetzt, siehe Windows Server How-To Guides: Lokale Gruppenmitgliedschaften in der Domäne (Restricted Groups) - ServerHowTo.de oder Gruppenrichtlinien - Übersicht, FAQ und Tutorials Das würde erklären, warum die Mitgliedschaften der Gruppe wieder "verloren" gehen. Ggf. schafft hier ein RSOP.MSC bzw. GPRESULT Klarheit, da Du hier siehst, ob restricted groups angewendet werden. Kannst Du einmal testen, ob eine neu angelegte "Benutzer"-Gruppe ebenfalls die Mitglieder verliert? Viele Grüße olc

Hi Makis, schau doch einmal auf der Kommandozeile mit net localgroup Administrators ob die Benutzer noch als Mitglied der lokalen Administratoren eingetragen sind (bzw. ob Du sie damit "sehen" kannst). Wenn Du deutsche Installationen verwendest, setze "Administratoren" sein. Viele Grüße olc